Cloud Interconnect 사용 제한

이 문서에서는 Cloud Interconnect를 사용할 수 있는 Virtual Private Cloud(VPC) 네트워크 집합을 제한하는 방법을 설명합니다.

기본적으로 모든 VPC 네트워크에서 Cloud Interconnect를 사용할 수 있습니다. Cloud Interconnect를 사용할 수 있는 VPC 네트워크를 제어하려면 조직 정책을 설정하면 됩니다. 조직 정책에 대한 일반적인 정보는 조직 정책 서비스 소개를 참조하세요.

Cloud Interconnect를 사용하여 온프레미스 네트워크에 VPC 네트워크를 연결하려면 VLAN 연결이 필요합니다. Cloud Interconnect 사용을 제한하는 조직 정책은 지정된 VPC 네트워크에서 VLAN 연결 생성을 허용하거나 거부합니다. 특정 VPC 네트워크 또는 프로젝트, 폴더, 조직 리소스의 모든 VPC 네트워크에서 VLAN 연결 생성을 허용하거나 거부하는 정책을 설정할 수 있습니다.

정책을 정의할 때 다음 제약조건을 사용할 수 있습니다.

• constraints/compute.restrictDedicatedInterconnectUsage

  이 제약조건은 Dedicated Interconnect를 사용하여 VLAN 연결을 만들 때 사용할 수 있는 VPC 네트워크 집합을 정의합니다.

• constraints/compute.restrictPartnerInterconnectUsage

  이 제약조건은 Partner Interconnect를 사용하여 VLAN 연결을 만들 때 사용할 수 있는 VPC 네트워크 집합을 정의합니다.

조직 정책을 설정하면 이후 VLAN 연결 생성이 제한됩니다. 이 정책은 이전에 만든 VLAN 연결에 영향을 주지 않습니다.

사용자가 조직 정책을 위반하는 VLAN 연결을 만들려고 하면 오류 메시지가 표시됩니다. 다음은 gcloud compute interconnects attachments partner create를 실행하는 오류 메시지 예시입니다.

ERROR: (gcloud.compute.interconnects.attachments.partner.create) Could not fetch resource:
- Constraint constraints/compute.restrictPartnerInterconnectUsage violated for projects/example-project.
projects/example-project/global/networks/example-network is not allowed to use the Partner Interconnect.

이 페이지에는 Cloud Interconnect 사용을 제한하기 위해 조직 정책을 설정하는 절차의 예시가 있습니다.

조직 정책 설정의 일반 절차를 비롯한 자세한 내용은 다음을 참조하세요.

• 제약조건 이해
• 제약조건 사용
• 조직 정책 만들기 및 관리

시작하기 전에

조직 정책을 설정하려면 조직 정책 관리자 역할(roles/orgpolicy.policyAdmin)이 있어야 합니다.

특정 VPC 네트워크를 거부하도록 정책 설정

특정 VPC 네트워크가 Cloud Interconnect를 사용하는 것을 거부하는 정책을 설정하려면 다음 단계를 따르세요.

1. 다음 명령어를 입력하여 조직 ID를 찾습니다.

   gcloud organizations list

   명령어 결과는 다음 예시와 같습니다.

   DISPLAY NAME             ID
   example-organization     29252605212
   

2. 정책을 정의하는 JSON 파일을 만듭니다. 다음 JSON 파일 예시에서는 project-1의 network-1이 Dedicated Interconnect를 사용하지 못하게 하는 정책을 정의합니다.

   {
     "Constraint": "constraints/compute.restrictDedicatedInterconnectUsage",
     "listPolicy": {
       "deniedValues": [
         "projects/project-1/global/networks/network-1"
      ]
     }
   }
   

3. gcloud Resource Manager set-policy 명령어를 사용하여 조직 정책을 설정합니다.

   gcloud resource-manager org-policies set-policy JSON_FILE_NAME
      --organization=ORGANIZATION_ID
   

   다음 값을 바꿉니다.

   • JSON_FILE_NAME: 이전 단계에서 만든 JSON 파일 이름(예: policy-name.json)

   • ORGANIZATION_ID: 이전에 찾은 조직의 ID

모든 VPC 네트워크를 거부하도록 정책 설정

모든 VPC 네트워크가 Cloud Interconnect를 사용하는 것을 거부하는 정책을 설정하려면 다음 단계를 따르세요.

1. 다음 명령어를 입력하여 조직 ID를 찾습니다.

   gcloud organizations list

   명령어 결과는 다음 예시와 같습니다.

   DISPLAY NAME             ID
   example-organization     29252605212
   

2. 정책을 정의하는 JSON 파일을 만듭니다. 다음 JSON 파일 예시에서는 모든 VPC 네트워크가 Dedicated Interconnect를 사용하지 못하게 하는 정책을 정의합니다.

   {
     "Constraint": "constraints/compute.restrictDedicatedInterconnectUsage",
     "listPolicy": {
       "allValues": "DENY"
      }
   }
   

3. gcloud Resource Manager set-policy 명령어를 사용하여 조직 정책을 설정합니다.

   gcloud resource-manager org-policies set-policy JSON_FILE_NAME
      --organization=ORGANIZATION_ID
   

   다음 값을 바꿉니다.

   • JSON_FILE_NAME: 이전 단계에서 만든 JSON 파일 이름(예: policy-name.json)

   • ORGANIZATION_ID: 이전에 찾은 조직의 ID

조직, 폴더, 프로젝트 수준에서 정책 설정

이전 섹션에서는 특정 VPC 네트워크 또는 모든 VPC 네트워크를 거부하는 방법을 설명합니다. 또한 제약조건 나열에 설명된 구문을 사용하여 조직, 프로젝트, 폴더 수준에서 VPC 네트워크를 허용하거나 거부할 수 있습니다.

다음 단계

• Cloud Interconnect 옵션에 대한 자세한 내용은 Cloud Interconnect 개요를 참조하세요.

• Cloud Interconnect를 사용할 때 발생할 수 있는 일반적인 문제를 해결하려면 문제 해결을 참조하세요.